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Content- und Security Proxy in einem l\/lobillcommunikationssystem 

Die Erfindung betrifft ein Verfahren und eine Einrichtung zur Bereitstellung von 
Sicherheitsfunktionen bei der Ubertragung von Daten von und zu einem 
Teilnehmerendgerat eines Mobilkommunikationsnetzes. 

Aktuelle und neue Datendienste bieten den Teilnehmem von 
Mobilkommunikationsnetzen einen direkten Zugang zum Intemet und anderen 
offentlichen Datennetzwerken. Dadurch ist das fur den mobilen Einsatz verwendete 
Mobiltelefon und mit diesem betriebene Zusatzgerate, wie z.B. ein Notebook oder 
Personal Digital Assistent, ahnlich wie auch bei einem festnetzbasierten 
Intemetzugang, den verschiedensten Angriffen Dritter ausgeliefert. 

Die Aufgabe der Erfindung ist es, ein Verfahren und eine Einrichtung zur 
Bereitstellung von Sicherheitsfunktionen bei der Ubertragung von Daten von und zu 
einem Teilnehmerendgerat eines Mobilkommunikationsnetzes anzugeben, um das 
Teilnehmerendgerat und angeschlossene oder mit diesem kombinierte Gerate 
wirkungsvoll zu schutzen. 

Diese Aufgabe wird durch die Merkmale der unabhangigen Patentanspruche gelost. 

Der Kem der Erfindung liegt darin, In einem Mobilfunknetz individuell pro 
Mobilfunkanschluss und Teilnehmer einen personalisierbaren Sicherheitsdienst 
anzubieten. 
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Der Tellnehmer kann seine Sicherheitseinstellungen interaktiv und dynamisch 
anpassen 

Vom Netzwerkbetreiber konnen eine Reihe von sinnvollen Standard-Einstellungen 
fur die Filterfunktionen, z.B. Virenschutz, Schutz vor Werbe-Mails, etc., vorgegeben 
sein. 

Die Schutzfunktion wird dabei von einer netzwerkspezifischen Einrichtung in Form 
einer Sicherheits- und Filtereinriclitung angeboten. Die generelle Schutzfunktion lasst 
sich daruber hinaus mit einer Speiclierfunktion koppein, d.h. der Datenverkehr Teile 
davon werden temporar in der Einrichtung gespeichert und konnen vom Teilnehmer 
abgerufen werden. Somit kann die Sicherheits- und Filtereinrichtung zusatzlich die 
Funktion eines sogenannten Proxy ubemehmen. 'Proxy' bedeutet soviel wie 
'Stellvertreterdienst'. Proxies nehmen Anforderungen von einem Client, z.B. einem 
Endgerat, entgegen und geben sle, gegebenenfalls modifiziert, an das ursprungliche 
Ziel, Z.B. einen Intemetanbieter, weiter. Proxies konnen die durchgeschleusten 
Daten lokal ablegen und beim nachsten Zugriff direkt liefem. 
Damit wird gleichzeitig eine Performance-Steigerung erreicht da bestimmte Inhalte 
gepuffert werden konnen. 

ErfindungsgemaB konnen vom beschriebenen System folgende Schutzfunktionen 
angeboten werden: 

Eine Filterung des Datenverkehrs auf IP/TCP Basis in Form einer sogenannten 
Firewall Funktion. Ferner das Filtern / Abwehren von Datenpaketen bestimmten 
Ursprungs (IP Adresse) bzw. Datenpaketen von und zu bestimmten Diensten (TCP- 
Ports), 

Eine Analyse des Dateninhalts auf bosartige Oder sicherheitskritische Inhalte. Der 
gesamte Inhalt einer Datenverbindung wird analysiert und nach bestimmten Mustem 
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untersucht. Signaturen von Viren etc. werden aufgespiirt und unschSdlich gemacht, 
bevor sie das Endgerat des Teilnehmens errelchen. 

Eine Analyse des Datenlnhalts auf unenwunschte Inhalte. z.B. in Form von Spam, 
Werbung oder anstoBigen Inhalten. Hierzu wird der gesamte Inhalt der Verbindung 
analysiert und vom Teilnehmer angegebener unenwiinschter Inhalt wird ausgefiitert, 
z.B. zum Schutz von KIndern und Jugendlichen. 

Der Netzwerkbetrelber selbst kann die Mechanlsmen des Systems nutzen, urn fiir 
bestlmmte Teilnehmer gezielt bestlmmten Datenverkehr auszuschalten, z.B. 
kostenpflichtige Dienste, wenn Teilnehmer den Dienst nioht subskribiert hat. 

Die Filterfunktion fur den Datenlnhalt kann sinnvoll und technisch mit den selben 
Mechanlsmen zusatzllch mIt folgenden Funktlonen angerelchert werden. 

Z.B. ist relativ einfach eine Llmitierung des Datentransfervolumens reallslerbar. 
Hierzu wird der gesamte Verkehr, unter Umstanden getrennt nach kommendem und 
gehendem Verkehr, aufsummiert und weiterer Verkehr bei Oberschrelten eines vom 
Benutzer oder Betreiber vorgegebenen Limits unterbunden. 

Zusatzlich kann mit einer Komponente zur Berechnung der Entgelte die Budget- 
Einhaltung Qberpriift werden. Die Teilnehmer bzw. der Betreiber kann eine 
bestimmte Obergrenze fiir die Kommunikationskosten vorgeben. Bei Uberschreitung 
des festgelegten Budgets wird der Teilnehmer benachrichtigt und der Datenverkehr 
unterbunden. Damit ist eine effektlve Kostenkontrolle und Kostentransparenz 
mogllch. 

Weitere Funktlonen konnen sinnvoll in das System Integriert werden: 

Treten bestlmmte Erelgnlsse ein, d.h. werden Angrlffe erkannt, Spam-Mails gefiltert 
Oder ahnliche Erelgnlsse vom System erkannt, erfolgt die Benachrichtigung des 
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Teilnehmers oder Netzbetreibers urn eine transparente Kontrolle der ausgefilterten 
Daten zu ermoglichen. 

Der Teilnehmer kann weiterhin adminlstrieren, ob sein gesamter Verkehr uber das 
System geleitet wird oder nur selektiv, d.h. zu bestimmten Zeiten, nach 
entsprechenden Vorfallen oder bei Missbrauchsverdacht. 

GemaB einer Weiterbildung der Erfindung kann eine verteilte Realisierung der 
Filterfunktionen vorgesehen sein, d.h. die Sicherlieits- und Flltereinrichtung ist nicht 
zentral in einem Netzknoten des IVIobilkommunlkatlonssystems vorgesehen, sondern 
verteilt oder individuell in mehreren Netzknoten. Damit wird die Last fur den 
einzelnen Knoten verringert. 

Dies Einrichtung des Systems kann 

(a) entweder raumlich oder netzwerktechnisch bedingt sein, d.h. Verteilung auf 
mehrere Netze oder Netzknoten, oder 

(b) funklionai bedingt sein, z.B. spezieile Filterkomponenten fur bestimmte 
Dateninhalte, z.B. Email-Filter, Virenfilter, etc., oder 

(c) architektonisch oder softwaretechnisch bedingt sein, aufgrund z.B. einer 
Verwendung spezieller Hardware und Systemsoftware fur bestimmte 
Funktonen. 

Die Administration dieser zusatzlichen Funktionen kann jeweils zentral von einem 
bestimmten Knoten aus erfolgen. 

Ein Ausfuhrungsbeispiel der Erfindung wird nachfolgend anhand einer 
Zeichnungsfigur beschrieben. 

Figur 1 zeigt schematisch die technische Ausgestaltung des Systems. 
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Das System ist Teil eines Mobllkommunikationsnetzes 10, welches einer Vielzahl von 
Teilnehmerendgeraten 13 die Kommunikation mit anderen offentlichen Netzen. z.B. 
dem Internet 1 1 , eriaubt. 

Femer konnen an das Mobllfunkendgerat 13 angeschlossene, kombinierte Gerate 
14, wie Z.B. PC, PDA, Smartphone, etc. vorgesehen sein, die eine komfortable 
mobile Intemetnutzung emiogllchen. 

Innerhalb des IVlobilkommunikationsnetzes 10, vorzugswelse innerhalb eines 
entsprechenden Netzknotens, wie z.B. einer Vermittlungsstelle MSC, ist die 
erfindungsgemaBe Sicherheits- und Filtereinriclitung 1 angeordnet, die 
erfindungsgemaB aus folgenden funktionalen Teilen bestehen kann. 

Die generelle Filterkomponente 2: 

Diese Komponente hat eine vom Teilnehmer / Netzbetreiber definlerbare variable 
Filterfunktion und untersucht In Echtzeit den zwischen dem Endgerat 13 des 
Teilnehmers und dem Intemet 11 ausgetauschten Datenstrom 12. Der 
Teilnehmerverkehr 12 in beide RIchtungen geht uber diesen Filter 2 und wird dort 
analyslert. 

Die Authentlkationskomponente 3: 

Zur Benutzung der Sicherheits- und Filtereinrichtung 1 muss sich der Teilnehmer 
gegenuber dem System authentisieren. Damit wird sichergesteiit, dass kein 
unautorislerter Zugriff auf z.B. die personlichen Einstellungen des Teilnehmers 
erfolgen. Die Authentikation kann im einfachsten Fall (iber die Rufnummer MSISDN 
des Teilnehmers erfolgen. Sicherer und besser geschiitzt wird der Teilnehmer mit 
einer zusatzlichen PIN oder einem Passwort. 

Gegebenenfalls kann ein kryptographisches Authentikationsverfahren benutzt 
werden, z.B. Zertlfikate des Teilnehmerc. 



Die Administrationskomponente 4: 
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Diese Komponente bildet die Schnittstelle zwischen dem System und dem 
Tellnehmer. Hier kann der Teilnehmer seine personliclien Einstellungen 
administrieren. Dies kann direkt Qber das Mobilfunksystem, das Internet oder 
festnetzbasierte Kunden-Scfinittstellen des Netzbetreibers erfolgen. 

Die Datenbasis 5: 

Die Datenbasis 5 besclireibt, welclie Daten durch die Filterkomponente 2 auszufiitem 
Oder zu bearbeiten sind. Diese Datenbasis 5 kann vorteilliaft in vier Datenbanken 
aufgeteilt werden. Die erste Datenbank 6 entiialt die individuellen Filter und 
Einstellungen pro Teilnelimer. Die zweite Datenbank 7 enthalt die Filter und 
Einstellungen pro Mobilteiefon-Typ. 

Die dritte Datenbank 8 enthalt die netzbetreiberspezifischen Einstellungen und Filter, 
und die vierte Datenbank 9 enthalt die allgemeinen Einstellungen und Filter. 
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Patentanspriiche 



1 . Verfahren zur Bereitstellung von Sicherheitsfunktionen bei der Obertragung von 
Daten von und zu einem TellnehmerendgerSt eines Mobllkommunikationsnetzes, 
dadurch gekennzeichnet, 

dass in einer Einriohtung (1) eines Netzwerkknoten des 
Mobilkommunikationsnetzes (10) eine Echtzeit-Analyse des Datenstroms (12) 
von und zu dem Teilnehmerendgerat (13) durchgefuhrt wird, wobei Daten mit 
zuvor vom Teiinefimer oder einem Netzbetreiber / Provider definierten Iniialten 
erkannt und weiterverarbeitet werden. 

2. Verfahren nacli Anspruch 1 , dadurch gekennzeichnet, dass der Datenverkehr 
von und zu definierten Absendern und Empf&ngern erkannt und weiterverarbeitet 
werden. 

3. Verfahren nach einem der vorhergehenden AnsprQche, dadurch 
gekennzeichnet, dass die erkannten Daten selektiert und/oder isoliert und/oder 
geloscht und/oder dem Teilnehmer oder Netzbetreiber / Provider separat zur 
weiteren Verarbeitung zu Verfugung gestellt werden. 

4. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass eine Filtemng insbesondere des IP/TCP basierten 
Datenverkehrs durchgefuhrt wird. 

5. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass das anfallende Datentransfervoiumen auf ein vom 
Teilnehmer oder dem Netzbetreiber festgesetztes Mafi limltiert wird. 
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6. Verfahren nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dass die anfallenden Dateniibertragungskosten auf ein vom 
Teilnehmer Oder dem Netzbetreiber festgesetztes MaB limitiert wird. 

7. Verfahren nach eInem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dass der Teilnehmer, Netzbetreiber oder Provider bei 
Erkennung von bestimmten Dateninhalten und/oder Absendem benachrichtigt 
wird. 

8. Einrichtung zur Bereitsteliung von Sicherheitsfunktionen bei der Ubertragung von 
Daten von und zu einem Teilnehmerendgerat eines Mobilkommunikationsnetzes, 
unnfassend eine Sicherheits- und Filtereinrichtung (1) mit foigenden 
Komponenten: 

eine Filterkomponente (2) zur Echtzeit-Anaiyse des Datenstroms von und zu 
dem Teilnehmereridgerat; 

einer Authentikatlonskomponente (3) zur Authentisierung des Teiinehmers 
gegenuber der Sichertieits- und Filtereinrichtung; 
einer Administratlonskomponente (4) als Schnittstelle zum Teilnehmen 
eine Datenbasis (5) zur Speicherung von teilnehmer- und 
netzbetreiberspezifischen Daten sowie von Sicherheits- und Filterfunktionen. 

9. Einrichtung nach Anspruch 9, dadurch gekennzeichnet, dass die Slcherheits- 
und Filterkomponente (2) in einem oder mehreren Netzknoten des 
Mobilkommunikationsnetzes (10) eingerichtet ist. 

10. Einrichtung nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass fiir 
bestimmte Dateninhalte spezielle Filterkomponenten eingerichtet sind. 
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Zusammenfassung 



Die Erflndung betrifft ein Verfahren und eine EInrichtung zur Bereitstellung von 
Sicherheitsfunktionen bei der Obertragung von Daten von und zu einem 
Tellnehmerendgerat eines Mobiil<ommunii<ationsnetzes. In einer Einrichtung eines 
Netzwerkl<noten des i\/lobill<ommunilcationsnetzes wird eine Echtzeit-Analyse des 
Datenstroms von und zu dem Teiinetimerendgerat durchgefuhrt, wobei Daten mit 
zuvor vom Teiinehmer oder einem Netzbetreiber / Provider definierten Inlialten 
erl<annt und weiterverarbeitet werden. 

Dadurcii wird das Endgerat und daran angesclilossene Gerate des Teilnehmers 
bestmoglich gegen Angriffe von auBen geschutzt. 



